部署符合 Oracle Cloud CIS 基礎基準的安全登陸區
架構
OCI 核心登陸區能夠以獨立模式或作為軸輻式架構的組成部分,或透過 DMZ VCN 進行連線,佈建多個 VCN。VCN 可以遵循一般用途的三層網路拓撲,也可以導向特定的拓撲以支援 OCI Kubernetes Engine (OKE) 或 Oracle Exadata Database Service 部署。它們是使用必要的路由設定,並妥善保護其內送和外送介面。
登陸區域包括各種預先設定的安全服務,此服務可搭配整體架構以進行強式安全態勢的部署。這些服務包括 Oracle Cloud Guard 、VCN 流量日誌、 OCI Connector Hub 、 OCI Vault 以及客戶管理的金鑰、OCI Vulnerability Scanning Service、Security Zones 及 Zero Trust Packet Routing (ZPR)。使用「主題」和「事件」設定通知,以警示管理員已部署資源的變更。
下圖說明此參照架構。
此架構具有下列元件:
- Tenancy
租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時在 Oracle Cloud 內設定的安全隔離分割區。您可以在您租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 識別網域
識別網域是一個容器,可透過設定單一登入 (SSO) 組態和以 SAML/OAuth 為基礎的識別提供者管理,用於管理使用者和角色、同盟及啟動設定使用者、保護應用程式整合。它代表 Oracle Cloud Infrastructure 中的使用者群體,以及其關聯的組態和安全設定值 (例如 MFA)。
- 原則
Oracle Cloud Infrastructure Identity and Access Management 原則指定誰可以存取哪些資源以及存取方式。存取權是在群組和區間層次授予,這表示您可以編寫原則,讓群組在特定區間或租用戶中擁有特定類型的存取權。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間來組織、控制存取,以及為您的 Oracle Cloud 資源設定使用配額。在指定的區間中,您可以定義控制存取及設定資源權限的原則。
此著陸區域樣板中的資源會在下列區間中佈建:- 包含下方列出之所有區間的建議內含區間。
- 適用於所有網路資源 (包括必要網路閘道) 的網路區間。
- 記錄日誌、金鑰管理以及通知資源的安全區間。
- 應用程式相關服務的 App 區間,包括運算、儲存、函數、串流、Kubernetes 節點、API 閘道等等。
- 所有資料庫資源的資料庫區間。
- Oracle Exadata Database Service 基礎架構的選擇性區間。
圖表中的灰色圖示代表樣板未啟動設定的服務。
此區間設計反映了跨不同組織觀察到的基本功能結構,其中 IT 職責通常在網路、安全性、應用程式開發及資料庫管理員之間分開。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路一樣,VCN 也可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後加以變更。您可以將 VCN 分割成子網路,子網路可以限定為區域或可用性網域。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
該範本可以為不同工作負載類型部署 VCN,包括用於典型三層 Web 應用程式的三層 VCN、 OCI Kubernetes 引擎應用程式和 Oracle Exadata Database Service 。
- 網際網路閘道
網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,為內部部署網路與 VCN 之間的專用網路流量提供路徑,也可用於在相同區域或跨區域的 VCN 之間路由流量。
- NAT 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會將這些資源暴露給內送網際網路連線。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而不會周遊網際網路。
- Oracle Services Network
Oracle Services Network (OSN) 是 Oracle Cloud Infrastructure 中專為 Oracle 服務保留的概念性網路。這些服務具有可透過網際網路連線的公用 IP 位址。Oracle Cloud 外部的主機可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 以私密方式存取 OSN。您 VCN 中的主機可以透過服務閘道以私密方式存取 OSN。
- 網路安全群組 (NSG)
NSG 是雲端資源的虛擬防火牆。透過 Oracle Cloud Infrastructure 的零信任安全模型,您可以控制 VCN 中的網路流量。NSG 由一組傳入和傳出安全規則組成,僅適用於單一 VCN 中一組指定的 VNIC。
- 事件
Oracle Cloud Infrastructure 服務會發出事件,這些事件是描述資源變更的結構化訊息。系統會發出事件來建立、讀取、更新或刪除 (CRUD) 作業、資源週期狀態變更,以及影響雲端資源的系統事件。
- 通知
OCI Notifications 使用低延遲的發佈 - 訂閱模式,將訊息廣播至分散式元件,為 Oracle Cloud Infrastructure 代管的應用程式提供安全、高度可靠、持久的訊息。
- 保存庫
Oracle Cloud Infrastructure Vault 可讓您集中管理加密金鑰,以保護您的資料,以及用於保護對雲端資源存取安全性的秘密憑證。您可以使用保存庫服務來建立及管理保存庫、金鑰以及加密密碼。
- 日誌Oracle Cloud Infrastructure Logging 是可高度擴展且完全受管理的服務,可從雲端資源存取下列類型的日誌:
- 稽核日誌:與 OCI 稽核產生之事件相關的日誌。
- 服務日誌:由個別服務 (例如 OCI API 閘道、 OCI 事件、 OCI 函數、 OCI 負載平衡、 OCI 物件儲存及 VCN 流量日誌) 發布的日誌。
- 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境診斷資訊的日誌。
- 服務連線器
Oracle Cloud Infrastructure Connector Hub 是一個雲端訊息匯流排平台,可協調 OCI 中服務之間的資料移動。您可以使用服務連線器將資料從來源服務移至目標服務。服務連線器也可讓您選擇性地指定要在資料傳遞至目標服務之前執行的工作 (例如函數)。
您可以使用 Oracle Cloud Infrastructure Service Connector Hub 快速為 SIEM 系統建置記錄彙總架構。
- 雲端保全
Oracle Cloud Guard 透過監控租用戶的組態設定和可能造成安全問題的資源動作,協助您在 Oracle Cloud 中達成並維持強大的安全狀態。
您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義這些處方來檢查資源是否有安全漏洞,以及監控操作員和使用者是否有危險的活動。偵測到任何組態錯誤或不安全的活動時,Cloud Guard 會建議更正動作,並根據您可以定義的回應器處方協助採取這些動作。
- 安全區域
安全區域與一或多個區間和安全區域處方關聯。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure (OCI) 會根據安全區域處方中定義的原則清單來驗證這些作業。如果違反任何安全區域原則,則會拒絕作業。
安全區域可確保您的 OCI 資源符合您的安全原則,包括 Oracle Cloud Infrastructure Compute 、Oracle Cloud Infrastructure Networking 、Oracle Cloud Infrastructure Object Storage 、Oracle Cloud Infrastructure Block Volumes 和資料庫資源。
- 漏洞掃描服務
Oracle Cloud Infrastructure 漏洞掃描服務透過定期檢查連接埠和主機是否有潛在的漏洞,協助改善 Oracle Cloud 中的安全性狀態。此服務會產生含有這些漏洞之度量和詳細資訊的報表。
- Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) 透過從網路架構分開管理網路安全原則,防止未經授權的資料存取。ZPR 使用容易操作、基於目的的政策語言來定義允許的資料存取路徑。原則未明確定義的任何流量模式都無法周遊網路,這可簡化資料保護並防止資料外洩。
- 堡壘主機服務
Oracle Cloud Infrastructure 堡壘主機服務使用身分識別型、經過稽核且受時間限制的安全 Shell (SSH) 階段作業,提供從特定 IP 位址到目標 OCI 資源的限制存取。
- 物件儲存
OCI Object Storage 可讓您快速存取任何內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以直接從網際網路或雲端平台內安全地儲存資料。您可以擴展儲存體,而不會發生任何效能或服務可靠性的降低問題。
建議
使用下列建議作為設計並設定雲端環境安全性的起點。您的需求可能與此處描述的架構不同。
- 網路組態
對於 VCN,請選取未與您要設定專用連線的任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者)。
- 安全監督
您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用您可以定義的偵測器處方來檢查資源是否有安全漏洞,以及監控操作員和使用者是否有危險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方建議更正動作並協助採取這些動作。
- 保護資源配置
對於需要最高安全性的資源,請使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則處方關聯的區間。舉例來說,安全區域中的資源不得從公用網際網路存取,而必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。
注意事項
實行此參照架構時,請考量下列因素:
- 存取權限
佈建登陸區樣板需要具備整個租用戶權限 (屬於「管理員」群組成員的任何使用者) 的使用者。
登陸區樣板會以租用戶管理員身分 (身為管理員群組成員的任何使用者) 佈建資源,並且包含允許個別管理員群組在初始佈建之後管理每個區間的原則。預先設定的原則不涵蓋 OCI 中可用的所有資源 (例如,如果您將資源新增至 Terraform 樣板,則可能需要新增必要的額外原則敘述句)。
- 網路組態
登陸區域網路可以不同方式部署:使用 Oracle Cloud Infrastructure DRG V2 服務的集線器架構中有一或多個獨立 VCN,或使用具有 Oracle Cloud Infrastructure DRG V2 的 DMZ VCN 架構。也可在沒有網際網路連線的情況下設定網路。雖然登陸區允許在獨立和集線器與軸輻之間來回切換,但規劃特定設計十分重要,因為切換時可能需要手動動作。
- 建置指南
GitHub 中的 OCI 核心登陸區部署指南提供有關如何設定核心登陸區域的詳細指引,包括一些重要的部署案例。
部署
此解決方案的 Terraform 程式碼可從 GitHub 取得。只要按一下,即可將程式碼提取至 Oracle Cloud Infrastructure Resource Manager ,建立堆疊並進行部署。或者,將程式碼從 GitHub 下載至電腦、自訂程式碼,以及使用 Terraform CLI 部署架構。
- 使用 Oracle Cloud Infrastructure Resource Manager 中的範例堆疊進行部署:
- 前往
如果您尚未登入,請輸入租用戶和使用者證明資料。
- 選取您要在其中部署堆疊的區域。
- 依照畫面上的提示和指示建立堆疊。
- 建立堆疊之後,按一下 Terraform 動作,然後選取計畫。
- 等待工作完成,然後複查計畫。
若要進行任何變更,請返回「堆疊詳細資訊」頁面,按一下編輯堆疊,然後進行必要的變更。然後,再次執行計畫 (Plan) 動作。
- 如果不需要進一步的變更,請返回「堆疊詳細資訊」頁面,按一下 Terraform 動作,然後選取套用。
- 前往
- 使用 GitHub 中的 Terraform 程式碼進行部署:
- 請前往 GitHub 。
- 下載程式碼或複製到本機電腦。
- 請依照 README 中的指示。
變更日誌
此日誌列出重大變更:
| 2025 年 2 月 20 日 |
|
| 五月 16,2024 |
|
| 五月 2,2023 |
|
| 2021 年 10 月 19 日 |
|